Cybersicherheit: Jetzt der Wahrheit ins Gesicht schauen
© Anna Rauchenberger
Robert Staubmann, Geschäftsführer der KSV1870 Nimbusec GmbH
Viele Unternehmen sind nicht ausreichend geschützt und auch die Umsetzung der NIS2-Richtlinie steht in Österreich noch an. Robert Staubmann, Geschäftsführer der KSV1870 Nimbusec GmbH, erklärt, was auf die Betriebe zukommt.
Sie sind seit Anfang des Jahres neuer Geschäftsführer der KSV1870 Nimbusec GmbH und jetzt scheint es ernst zu werden. Die EU-NIS2-Richtlinie soll in Österreich heuer noch umgesetzt werden, nachdem der erste Gesetzesentwurf im Vorjahr abgelehnt wurde. Schwierige Zeiten?
Robert Staubmann: Ganz und gar nicht. Gemeinsam mit meinem Geschäftsführerkollegen Patrick Wall leite ich seit Jahresbeginn die KSV1870 Nimbusec GmbH und ich habe mich gut eingelebt. Das Gesetz hätte schon im Vorjahr umgesetzt werden sollen, insofern sind wir vorbereitet. Auf Österreichs Wirtschaft kommt allerdings ein ordentlicher Brocken zu, denn viele haben sich bis jetzt nicht ausreichend damit befasst, weil der unmittelbare Druck gefehlt hat. Dass das Thema Cybersecurity in Zeiten der Digitalisierung und steigender Cyberkriminalität relevanter denn je ist, hat kaum zu mehr Aktivität gesorgt. Angesichts eines eher ernüchternden IST-Zustandes in puncto Cybersicherheit ist es höchste Eisenbahn, dass ein gesetzlicher Rahmen geschaffen wird, der Klarheit schafft.
Wie ist es um die Cybersicherheit hierzulande bestellt?
Laut unseren Analysen überschätzen 87 Prozent der Unternehmen ihre eigene Cybersicherheit. Zudem erfüllt jeder dritte Betrieb Kundenanforderungen hinsichtlich einer adäquaten IT-Sicherheit nicht. Viele Unternehmen glauben, gut aufgestellt zu sein, während die Realität leider anders aussieht. Damit verbundene Fehleinschätzungen sowie grundlegende Sicherheitslücken öffnen Angreifern Tür und Tor. Das Bewusstsein für ein professionelles Sicherheitsmanagement ist leider zu gering. Insofern ist es gut, wenn ein Gesetz mit klaren Vorgaben kommt.
Kurz zusammengefasst: Was ist NIS2 und welches Ziel wird dabei verfolgt?
Generell hat es sich die EU zum Ziel gesetzt, die IT-Resilienz zu verbessern. Angesichts von rund 60.000 Fällen von Internetkriminalität pro Jahr in Österreich und einer immer höheren Anzahl an IT-Schnittstellen zwischen Geschäftspartnern, die ein potenzielles Sicherheitsrisiko in sich tragen, ist das zweifelsohne notwendig. Dabei spielt die NIS2-Richtlinie eine wesentliche Rolle. Sie soll nicht nur für ein höheres Sicherheitsniveau von Netz- und Informationssystemen sorgen, sondern auch die rasche und vor allem richtige Reaktion auf Sicherheitsvorfälle verbessern.
Wer ist davon aller betroffen?
Im Zuge der Richtlinie rücken nicht nur Unternehmen der kritischen Infrastruktur, etwa Betriebe aus den Bereichen Energie, Bankwesen, Verkehr, Gesundheitswesen oder der digitalen Infrastruktur, in den Fokus, sondern auch deren Geschäftspartner. Sie alle müssen ab Inkrafttreten der NIS2-Richtlinie einen entsprechenden Nachweis vorlegen können, der ihre NIS2-Konformität bestätigt. Insgesamt sprechen wir hier neben den rund 4.000 Unternehmen der kritischen Infrastruktur von mehreren Zehntausend Betrieben, die in einer Geschäftsbeziehung mit Unternehmen aus kritischen Sektoren stehen. Das kann auch den Cateringlieferanten eines Energiekonzerns betreffen.
Müssen Lieferanten tatsächlich geprüft werden?
Ja. Denn Lieferanten sind überwiegend kleine und mittelständische Unternehmen. Anders als große Konzerne verfügen viele KMU nicht über eigene IT-Sicherheitslösungen oder spezielles Personal. Stattdessen müssen sie ihre Ressourcen sorgsam priorisieren. Cybersecurity bleibt da leider häufig auf der Strecke. Doch gerade diese Unternehmen sind wichtig in den Lieferketten und das macht sie auch zu einer potenziellen Schwachstelle.
Was passiert, wenn ein Unternehmen keinen Nachweis vorlegt?
Es wird in so einem Fall fast unmöglich sein, Geschäfte mit Unternehmen der kritischen Infrastruktur zu einem positiven Abschluss zu führen. Welche finanziellen Folgen daraus resultieren können, liegt auf der Hand: Umsatzeinbußen, wodurch im schlimmsten Fall die wirtschaftliche Stabilität der Betriebe ins Wanken gerät. Davon sind aber nicht nur große Unternehmen betroffen, das kann zum Beispiel auch der kleine Installateur von nebenan sein, der im Zuge der Auftragsvergabe via IT-Schnittstellen mit seinen Auftraggebern kommuniziert.
Wo bekomme ich als Unternehmen einen IT-Sicherheitsnachweis?
Unser CyberRisk Rating unterstützt Unternehmen dabei, NIS2-konform zu agieren. Das Rating bewertet Cyberrisiken von Dienstleistern, Lieferanten und Dritten. Es ist eine kostengünstige Möglichkeit, die eigene IT-Sicherheit zu belegen. Es basiert auf dem Schema des Kompetenzzentrum Sicheres Österreich, das von führenden Cyberrisk-Managern aus allen Sektoren der kritischen Infrastruktur sowie Vertretern namhafter österreichischer Unternehmen entwickelt wurde. Somit ist das Rating für jede Branche und jeden Wirtschaftssektor geeignet.
Auf welchen Informationen beruht dieser Nachweis?
In einem strukturierten Online-Assessment beantworten Unternehmen 25 praxisnahe Fragen zur eigenen Sicherheitslage. Aus den Antworten ergibt sich ein Rating, das sowohl national als auch international anerkannt ist. Je nach Risikoeinstufung wird ein B-, A- oder A+-Rating benötigt. Ein B-Rating bedeutet, dass ein Basis-Cyber-Schutzniveau vorhanden ist. Beim A-Rating werden alle 25 Anforderungen des KSÖ bewertet – auch jene, die oft mit hohen Kosten verbunden sind. Bei „A+“ erstellt zusätzlich ein Audit-Partner einen Bericht über die bewertete Organisation und erhöht so die Zuverlässigkeit weiter. Sollten Anforderungen nicht erfüllt werden, so erfährt das Unternehmen, wo anzusetzen ist.
Mehr zum Rating finden Sie am KSVBLOG.
